Funzionamento dei plug-in di aggiornamento compatibile con cluster
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, versioni 21H2 e 20H2
L'aggiornamento compatibile con cluster usa plug-in per coordinare l'installazione degli aggiornamenti tra i nodi in un cluster di failover. Questo argomento fornisce informazioni sull'uso dei plug-in di Aggiornamento compatibile con cluster predefiniti o su altri plug-in installabili per Aggiornamento compatibile con cluster.
Installare un plug-in
Qualsiasi plug-in diverso da quelli predefiniti (Microsoft.WindowsUpdatePlugin e Microsoft.HotfixPlugin) installati con Aggiornamento compatibile con cluster deve essere installato separatamente. Se Aggiornamento compatibile con cluster viene usato in modalità di aggiornamento automatico, è necessario installare il plug-in su tutti i nodi del cluster. Se Aggiornamento compatibile con cluster viene usato in modalità di aggiornamento remoto, è necessario installare il plug-in sul computer coordinatore dell'aggiornamento remoto. Un plug-in installato dall'utente può avere requisiti di installazione aggiuntivi per ogni nodo.
Per installare un plug-in, seguire le istruzioni fornite dall'autore del plug-in stesso. Per registrare manualmente un plug-in in Aggiornamento compatibile con cluster, eseguire il cmdlet Register-CauPlugin in ogni computer in cui è installato il plug-in.
Specificare un plug-in e i relativi argomenti
Specificare un plug-in di Aggiornamento compatibile con cluster
Nell'interfaccia utente di Aggiornamento compatibile con cluster si seleziona un plug-in disponibile da un elenco a discesa per eseguire le azioni seguenti:
Applicare aggiornamenti al cluster
Vedere un'anteprima degli aggiornamenti per il cluster
Configurare le opzioni di aggiornamento automatico del cluster
Aggiornamento compatibile con cluster seleziona il plug-in Microsoft.WindowsUpdatePluginper impostazione predefinita. È tuttavia possibile specificare qualsiasi plug-in installato e registrato con Aggiornamento compatibile con cluster.
Suggerimento
Nell'interfaccia utente di Aggiornamento compatibile con cluster è possibile specificare un solo plug-in utilizzabile da Aggiornamento compatibile con cluster per applicare aggiornamenti o visualizzarne un'anteprima durante un'operazione di aggiornamento. Usando i cmdlet di PowerShell per aggiornamento compatibile con cluster, è possibile specificare uno o più plug-in. Se è necessario installare più tipi di aggiornamenti nel cluster, in genere è più efficiente specificare più plug-in in un'unica operazione di aggiornamento, anziché utilizzare un'operazione di aggiornamento separata per ogni plug-in. Si verificheranno ad esempio meno riavvii di nodo.
Usando i cmdlet di PowerShell di Aggiornamento compatibile con cluster elencati nella tabella seguente, è possibile specificare uno o più plug-in per un'analisi o un'operazione di aggiornamento passando il parametro –CauPluginName. È possibile specificare più nomi di plug-in separati da virgole. Se si specificano più plug-in, è anche possibile controllarne l'influenza reciproca durante un'operazione di aggiornamento specificando i parametri -RunPluginsSerially, -StopOnPluginFailuree –SeparateReboots . Per altre informazioni sull'uso di più plug-in, usare i collegamenti alla documentazione dei cmdlet forniti nella tabella seguente.
| Cmdlet | Descrizione |
|---|---|
| Add-CauClusterRole | Aggiunge il ruolo cluster di Aggiornamento compatibile con cluster che fornisce la funzionalità di aggiornamento automatico al cluster specificato. |
| Invoke-CauRun | Esegue un'analisi dei nodi del cluster per verificare l'applicabilità di aggiornamenti e li installa tramite un'operazione di aggiornamento sul cluster specificato. |
| Invoke-CauScan | Esegue un'analisi dei nodi del cluster per verificare l'applicabilità di aggiornamenti e restituisce un elenco del set di aggiornamenti iniziale che verrebbe applicato a ogni nodo nel cluster specificato. |
| Set-CauClusterRole | Imposta le proprietà di configurazione per il ruolo cluster di Aggiornamento compatibile con cluster sul cluster specificato. |
Se non si specifica un parametro del plug-in di Aggiornamento compatibile con cluster usando questi cmdlet, la scelta predefinita è il plug-in Microsoft.WindowsUpdatePlugin.
Specificare gli argomenti del plug-in di Aggiornamento compatibile con cluster
Quando si configurano le opzioni dell'operazione di aggiornamento, è possibile specificare una o più coppie nome=valore (argomenti) per l'uso da parte del plug-in selezionato. Nell'interfaccia utente di Aggiornamento compatibile con cluster, ad esempio, è possibile specificare più argomenti come indicato di seguito:
Name1=Value1;Name2=Value2;Name3=Value3.
Queste coppie nome=valore devono essere significative per il plug-in specificato. Per alcuni plug-in gli argomenti sono facoltativi.
La sintassi degli argomenti del plug-in di Aggiornamento compatibile con cluster rispetta le regole generiche riportate di seguito:
Più coppie nome=valore sono separate da punti e virgola.
I valori che contengono spazi vengono racchiusi tra virgolette, ad esempio: Name1="Value with Spaces".
La sintassi esatta di valore dipende dal plug-in.
Per specificare gli argomenti plug-in usando i cmdlet di PowerShell di Aggiornamento compatibile con cluster che supportano il parametro –CauPluginParameters, passare un parametro del modulo:
-CauPluginArguments @{Name1=Value1;Name2=Value2;Name3=Value3}.
È anche possibile usare una tabella hash di PowerShell predefinita. Per specificare argomenti per più di un plug-in, passare più tabelle hash di argomenti, usando virgole come separatori. Passare gli argomenti nell'ordine dei plug-in specificato in CauPluginName.
Specificare argomenti del plug-in facoltativi
I plug-in installati da Aggiornamento compatibile con cluster (Microsoft.WindowsUpdatePlugin e Microsoft.HotfixPlugin) forniscono opzioni aggiuntive che è possibile selezionare. Nell'interfaccia utente di Aggiornamento compatibile con cluster, tali opzioni sono visualizzate in una pagina Opzioni aggiuntive dopo la configurazione delle opzioni relative alle operazioni di aggiornamento per il plug-in. Se si stanno usando i cmdlet di CAU PowerShell, queste opzioni vengono configurate come argomenti facoltativi del plug-in. Per altre informazioni, vedere Usare Microsoft.WindowsUpdatePlugin e Usare Microsoft.HotfixPlugin , più avanti in questo argomento.
Gestire i plug-in usando i cmdlet di Windows PowerShell
| Cmdlet | Descrizione |
|---|---|
| Get-CauPlugin | Recupera informazioni su uno o su più plug-in di aggiornamento software registrati nel computer locale. |
| Register-CauPlugin | Registra un plug-in di Aggiornamento compatibile con cluster per l'aggiornamento del software nel computer locale. |
| Unregister-CauPlugin | Rimuove un plug-in di aggiornamento software dall'elenco di plug-in che possono essere usati da Aggiornamento compatibile con cluster. Nota: la registrazione dei plug-in installati con CAU(Microsoft.WindowsUpdatePlugin e Microsoft.HotfixPlugin) non può essere annullata. |
Uso di Microsoft.WindowsUpdatePlugin
Il plug-in predefinito per Aggiornamento compatibile con cluster Microsoft.WindowsUpdatePlugin esegue le azioni seguenti:
- Comunica con l'agente di Windows Update su ciascun nodo del cluster di failover per applicare gli aggiornamenti necessari per i prodotti Microsoft in esecuzione su ciascun nodo.
- Installa gli aggiornamenti del cluster direttamente da Windows Update o Microsoft Update o da un server Windows Server Update Services (WSUS) locale.
- Installa solo gli aggiornamenti della versione di distribuzione generale (GDR) selezionati. Per impostazione predefinita, il plug-in applica solo aggiornamenti software importanti. Non è richiesta alcuna configurazione. La configurazione predefinita consente di scaricare e installare gli aggiornamenti GDR importanti.
Nota
Per applicare aggiornamenti diversi dagli aggiornamenti software importanti selezionati per impostazione predefinita ,ad esempio gli aggiornamenti del driver, è possibile configurare un parametro plug-in facoltativo. Per altre informazioni, vedere Configurare la stringa di query per l'agente di Windows Update.
Requisiti
- Il cluster di failover e il computer Coordinatore aggiornamenti remoti (se usati) devono soddisfare i requisiti per Aggiornamento compatibile con cluster e la configurazione necessaria per la gestione remota elencata in Requisiti e procedure consigliate per CAU.
- Esaminare Consigli per l'applicazione degli aggiornamenti Microsoft, quindi apportare le modifiche necessarie alla configurazione di Microsoft Update per i nodi del cluster di failover.
- Per ottenere risultati ottimali, è consigliabile eseguire CAU Best Practices Analyzer (BPA) per assicurarsi che il cluster e l'ambiente di aggiornamento siano configurati correttamente per applicare gli aggiornamenti tramite Aggiornamento compatibile con cluster. Per altre informazioni, vedere Test CAU updating readiness.
Nota
Gli aggiornamenti che richiedono l'accettazione delle condizioni di licenza Microsoft o l'interazione dell'utente sono esclusi e devono essere installati manualmente.
Opzioni aggiuntive
Facoltativamente, è possibile specificare uno degli argomenti seguenti per espandere o limitare il set di aggiornamenti applicati dal plug-in:
- Per configurare il plug-in per applicare gli aggiornamenti consigliati oltre agli aggiornamenti importanti in ogni nodo, nell'interfaccia utente di CAU, nella pagina Opzioni aggiuntive, selezionare la casella di controllo Assegna aggiornamenti consigliati allo stesso modo in cui si ricevono aggiornamenti importanti.
In alternativa, configurare l'argomento del plug-in 'IncludeRecommendedUpdates'='True' . - Per configurare il plug-in per filtrare i tipi di aggiornamenti GDR applicati a ogni nodo del cluster, specificare una stringa di query dell'agente di Windows Update usando un argomento plug-in QueryString. Per altre informazioni, vedere Configurare la stringa di query per l'agente di Windows Update.
Configurare la stringa di query per l'agente di Windows Update
È possibile specificare un argomento per il plug-in predefinito, Microsoft.WindowsUpdatePlugin, che consiste in una stringa di query per l'agente di Windows Update (WUA). Questa istruzione usa l'API agente di Windows Update (WUA) per identificare uno o più gruppi di aggiornamenti Microsoft da applicare a ogni nodo, sulla base di specifici criteri di selezione. È possibile combinare più criteri usando operatori AND od OR logici. La stringa di query per l'agente di Windows Update viene specificata in un argomento del plug-in come indicato di seguito:
QueryString="Criterion1=Value1 and/or Criterion2=Value2 and/or…"
Microsoft.WindowsUpdatePlugin , ad esempio, seleziona automaticamente gli aggiornamenti importanti usando un argomento QueryString predefinito costruito usando i criteri IsInstalled, Type, IsHiddene IsAssigned :
QueryString="IsInstalled=0 and Type='Software' and IsHidden=0 and IsAssigned=1"
Se si specifica un argomento QueryString , questo verrà usato al posto dell'argomento QueryString predefinito e configurato per il plug-in.
Esempio 1
Per configurare un argomento QueryString che installa un aggiornamento specifico identificato con l'ID f6ce46c1-971c-43f9-a2aa-783df125f003:
QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' e IsInstalled=0"
Nota
L'esempio precedente è valido per applicare aggiornamenti usando l'aggiornamento guidato compatibile con cluster. Se si desidera installare un aggiornamento specifico configurando opzioni di aggiornamento automatico con l'interfaccia utente di CAU o usando i cmdlet Add-CauClusterRole o Set-CauClusterRole, è necessario formattare il valore UpdateID con due caratteri con virgoletta singola:
QueryString="UpdateID=''f6ce46c1-971c-43f9-a2aa-783df125f003'' and IsInstalled=0"
Esempio 2
Per configurare un argomento QueryString che installa solo driver:
QueryString="IsInstalled=0 e Type='Driver' e IsHidden=0"
Per maggiori informazioni sulle stringhe di query per il plug-in predefinito, Microsoft.WindowsUpdatePlugin, i criteri di ricerca (come IsInstalled) e la sintassi che è possibile includere nelle stringhe di query, vedere la sezione sui criteri di ricerca in Materiale di riferimento API Windows Update Agent (WUA).
Usare Microsoft.HotfixPlugin
Il plug-in Microsoft.HotfixPlugin può essere usato per applicare aggiornamenti Microsoft a distribuzione ridotta (chiamati anche aggiornamenti rapidi e in precedenza noti come QFE) che vanno scaricati indipendentemente per risolvere problemi specifici del software Microsoft. Il plug-in installa gli aggiornamenti da una cartella radice in una condivisione file SMB e può anche essere personalizzato per applicare aggiornamenti non Microsoft driver, firmware e BIOS.
Nota
Gli hotfix sono talvolta disponibili per il download da Microsoft negli articoli della Knowledge Base, ma vengono forniti anche ai clienti in base alle esigenze.
Requisiti
Il cluster di failover e il computer Coordinatore aggiornamenti remoti (se usati) devono soddisfare i requisiti per Aggiornamento compatibile con cluster e la configurazione necessaria per la gestione remota elencata in Requisiti e procedure consigliate per CAU.
Consultare le Raccomandazioni sull'uso di Microsoft.HotfixPlugin.
Per ottenere risultati ottimali, è consigliabile eseguire il modello CAU Best Practices Analyzer (BPA) per assicurarsi che il cluster e l'ambiente di aggiornamento siano configurati correttamente per applicare gli aggiornamenti tramite Aggiornamento compatibile con cluster. Per altre informazioni, vedere Test CAU updating readiness.
Ottenere gli aggiornamenti dal server di pubblicazione e copiarli o estrarli in una condivisione file SMB (Server Message Block) (cartella radice hotfix) che supporta almeno SMB 2.0 e accessibile da tutti i nodi del cluster e dal computer remote Update Coordinator (se aggiornamento compatibile con cluster viene usato in modalità di aggiornamento remoto). Per altre informazioni, vedere Configurare una struttura di cartella radice degli aggiornamenti rapidi , più avanti in questo argomento.
Nota
Per impostazione predefinita, questo plug-in installa solo gli hotfix con le estensioni di file seguenti: msu, .msi e msp.
Copiare il file DefaultHotfixConfig.xml (disponibile nella cartella %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating in un computer in cui sono installati gli strumenti di Aggiornamento compatibile con cluster) nella cartella radice dell'hotfix creata e in cui sono stati estratti gli hotfix. Ad esempio, copiare il file di configurazione in \\MyFileServer\Hotfixes\Root\.
Nota
Per installare la maggior parte degli aggiornamenti rapidi forniti da Microsoft e altri aggiornamenti, è possibile usare il file di configurazione per gli aggiornamenti rapidi predefinito senza modifiche. Se richiesto per lo scenario in uso, è possibile personalizzare il file di configurazione come attività avanzata. Il file di configurazione può includere, ad esempio, ruoli personalizzati per la gestione di file di aggiornamento rapido con estensioni specifiche oppure per definire i comportamenti per determinate condizioni di uscita. Per altre informazioni, vedere Personalizzare il file di configurazione degli aggiornamenti rapidi , più avanti in questo argomento.
Impostazione
Configurare le opzioni descritte di seguito. Per altre informazioni, vedere i collegamenti alle sezioni più avanti in questo argomento.
Il percorso alla cartella radice degli aggiornamenti rapidi condivisa contenente gli aggiornamenti da applicare nonché il file di configurazione degli aggiornamenti rapidi. È possibile digitare questo percorso nell'interfaccia utente di Aggiornamento compatibile con cluster o configurare l'argomento plug-in HotfixRootFolderPath=<Path> di PowerShell.
Nota
È possibile specificare la cartella radice dell'hotfix come percorso di cartella locale o come percorso UNC nel formato \\NomeServer\Share\RootFolderName. È possibile usare un percorso di spazio dei nomi DFS basato su dominio o autonomo. Le funzionalità di plug-in che verificano le autorizzazioni nel file di configurazione degli aggiornamenti rapidi, tuttavia, non sono compatibili con percorsi di spazio dei nomi DFS, quindi, se ne viene configurato uno, sarà necessario disabilitare il controllo delle autorizzazioni di accesso usando l'interfaccia utente di Aggiornamento compatibile con cluster oppure configurando l'argomento DisableAclChecks='True' del plug-in.
Impostazioni nel server che ospita la cartella radice dell'hotfix per verificare le autorizzazioni appropriate per accedere alla cartella e garantire l'integrità dei dati a cui si accede dalla cartella condivisa SMB (firma SMB o crittografia SMB). Per altre informazioni, vedere Limitare l'accesso alla cartella radice degli aggiornamenti rapidi.
Opzioni aggiuntive
- Facoltativamente, configurare il plug-in in modo che la crittografia SMB venga imposta quando si accede ai dati dalla condivisione file degli aggiornamenti rapidi. Nell'interfaccia utente, nella pagina Opzioni aggiuntive, selezionare l'opzione Richiedi crittografia SMB per accesso alla cartella radice degli aggiornamenti rapidi oppure configurare l'argomento plug-in di PowerShell RequireSMBEncryption='True'.
Importante
È necessario eseguire passaggi di configurazione aggiuntivi nel server SMB per abilitare l'integrità dei dati SMB con firma o crittografia SMB. Per altre informazioni, vedere il passaggio 4 in Limitare l'accesso alla cartella radice degli aggiornamenti rapidi. Se si seleziona l'opzione per imporre l'uso della crittografia SMB e la cartella radice degli aggiornamenti rapidi non è configurata per l'accesso mediante la crittografia SMB, l'operazione di aggiornamento non riuscirà.
- Facoltativamente, disabilitare i controlli predefiniti sulla presenza delle autorizzazioni necessarie per la cartella radice e per il file di configurazione degli aggiornamenti rapidi. Nell'interfaccia utente di Aggiornamento compatibile con cluster selezionare Disabilita controllo accesso amministratore alla cartella radice degli aggiornamenti rapidi e al file di configurazioneoppure configurare l'argomento DisableAclChecks='True' del plug-in.
- Facoltativamente, configurare l'argomento HotfixInstallerTimeoutMinutes=<Integer> per specificare per quanto tempo il plug-in hotfix attende che venga restituito il processo di installazione hotfix. Il valore predefinito è 30 minuti. Ad esempio, per specificare un periodo di timeout di due ore, impostare HotfixInstallerTimeoutMinutes=120.
- Facoltativamente, configurare l'argomento plug-in HotfixConfigFileName = <name> per specificare un nome per il file di configurazione dell'hotfix che si trova nella cartella radice dell'hotfix. Se non ne viene specificato uno, verrà usato il nome predefinito DefaultHotfixConfig.xml.
Configurare una struttura di cartella radice degli aggiornamenti rapidi
Per un corretto funzionamento del plug-in relativo agli aggiornamenti rapidi, questi ultimi devono essere archiviati in una struttura ben definita all'interno di una condivisione file SMB (cartella radice degli aggiornamenti rapidi) ed è inoltre necessario configurare il plug-in degli aggiornamenti rapidi con il percorso alla cartella radice degli aggiornamenti rapidi tramite l'interfaccia utente CAU o i cmdlet di PowerShell CAU. Questo percorso viene passato al plug-come argomento HotfixRootFolderPath . In base alle esigenze di aggiornamento, è possibile scegliere tra diverse strutture per la cartella radice degli aggiornamenti rapidi, come illustrato negli esempi seguenti. File o cartelle non conformi a questa struttura verranno ignorati.
Esempio 1 - Struttura di cartelle usata per applicare aggiornamenti rapidi a tutti i nodi del cluster
Per specificare che gli aggiornamenti rapidi si applicano a tutti i nodi del cluster, copiarli in una cartella denominata CAUHotfix_All sotto la cartella radice dell'aggiornamento rapido. In questo esempio, l'argomento plug-in HotfixRootFolderPath è impostato su \\MyFileServer\Hotfixes\Root\. La cartella CAUHotfix_All contiene tre aggiornamenti con le estensioni msu, .msi e .msp che verranno applicati a tutti i nodi del cluster. I nomi file degli aggiornamenti qui riportati hanno solo scopo illustrativo.
Nota
In questo esempio e in quelli seguenti il file di configurazione degli aggiornamenti rapidi con il nome predefinito DefaultHotfixConfig.xml è visualizzato nella posizione richiesta nella cartella radice degli aggiornamenti rapidi.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
Esempio 2 - Struttura di cartelle usata per applicare determinati aggiornamenti solo a un nodo specifico
Per specificare aggiornamenti rapidi applicabili solo a un nodo specifico, usare una sottocartella della cartella radice degli aggiornamenti rapidi con il nome del nodo. Usare il nome NetBIOS del nodo del cluster, ad esempio ContosoNode1. Spostare quindi gli aggiornamenti applicabili solo al nodo in questione nella sottocartella. Nel seguente esempio, l'argomento plug-in HotfixRootFolderPath è impostato su \\MyFileServer\Hotfixes\Root\. Gli aggiornamenti nella cartella CAUHotfix_All verranno applicati a tutti i nodi del cluster, mentre Node1_Specific_Update.msu verrà applicato solo a ContosoNode1.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
ContosoNode1\
Node1_Specific_Update.msu
...
Esempio 3 - Strutture di cartelle usate per applicare file di aggiornamento diversi da .msu, .msi e .msp
Per impostazione predefinita, Microsoft.HotfixPlugin applica unicamente aggiornamenti con le estensioni .msu, .msi o .msp. Alcuni aggiornamenti potrebbero tuttavia avere estensioni diverse e potrebbero richiedere comandi di installazione diversi. Ad esempio, potrebbe essere necessario applicare un aggiornamento firmware con estensione .exe a un nodo in un cluster. È possibile configurare la cartella radice degli aggiornamenti rapidi con una cartella che indica che deve essere installato un tipo specifico di aggiornamento non predefinito. È inoltre necessario configurare una regola di installazione della cartella corrispondente che specifica il comando di installazione nell'elemento <FolderRules> nel file XML di configurazione degli aggiornamenti rapidi.
Nel seguente esempio, l'argomento plug-in HotfixRootFolderPath è impostato su \\MyFileServer\Hotfixes\Root\. Molti aggiornamenti verranno applicati a tutti i nodi del cluster, mentre l'aggiornamento firmware SpecialHotfix1.exe verrà applicato a ContosoNode1 usando FolderRule1. Per informazioni sulla configurazione di FolderRule1 nel file di configurazione degli aggiornamenti rapidi, vedere Personalizzare il file di configurazione degli aggiornamenti rapidi più avanti in questo argomento.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
ContosoNode1\
FolderRule1\
SpecialHotfix1.exe
...
Personalizzare il file di configurazione degli aggiornamenti rapidi
Il file di configurazione degli aggiornamenti rapidi controlla il modo in cui Microsoft.HotfixPlugin installa tipi di file degli aggiornamenti rapidi specifici in un cluster di failover. Lo schema XML per il file di configurazione è definito in HotfixConfigSchema.xsd, che si trova nella cartella seguente in un computer in cui sono installati gli strumenti di Aggiornamento compatibile con cluster:
Cartella %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating
Per personalizzare il file di configurazione degli aggiornamenti rapidi, copiare il file di configurazione di esempio DefaultHotfixConfig.xml da questo percorso alla cartella radice degli aggiornamenti rapidi e apportare le modifiche appropriate per il proprio scenario.
Importante
Per applicare la maggior parte degli aggiornamenti rapidi forniti da Microsoft e altri aggiornamenti, è possibile usare il file di configurazione per gli aggiornamenti rapidi predefinito senza modifiche. La personalizzazione del file di configurazione degli aggiornamenti rapidi è un'attività destinata solo a scenari di utilizzo avanzato.
Per impostazione predefinita, il file XML di configurazione degli aggiornamenti rapidi definisce regole di installazione e condizioni di uscita per le due categorie di aggiornamenti rapidi seguenti:
File di aggiornamento rapido con estensioni che il plug-in è in grado di installare per impostazione predefinita (file .msu, .msi e .msp).
Questi vengono definiti elementi
<ExtensionRules>nell'elemento<DefaultRules>. È presente un elemento<Extension>per ognuno dei tipi di file predefiniti supportati. La struttura generale XML è la seguente:<DefaultRules> <ExtensionRules> <Extension name="MSI"> <!-- Template and ExitConditions elements for installation of .msi files follow --> ... </Extension> <Extension name="MSU"> <!-- Template and ExitConditions elements for installation of .msu files follow --> ... </Extension> <Extension name="MSP"> <!-- Template and ExitConditions elements for installation of .msp files follow --> ... </Extension> ... </ExtensionRules> </DefaultRules>Se è necessario applicare determinati tipi di aggiornamenti a tutti i nodi del cluster nell'ambiente, è possibile definire elementi
<Extension>aggiuntivi.Aggiornamenti rapidi o altri file di aggiornamento che non presentano estensioni .msi, .msu o .msp, ad esempio driver, firmware e aggiornamenti del BIOS non Microsoft.
Ogni tipo di file non predefinito viene configurato come elemento
<Folder>nell'elemento<FolderRules>. L'attributo del nome dell'elemento<Folder>deve essere identico al nome di una cartella all'interno della cartella degli aggiornamenti rapidi che conterrà gli aggiornamenti del tipo corrispondente. La cartella può trovarsi nella cartella CAUHotfix_All o in una cartella specifica del nodo. Se FolderRule1 , ad esempio, è configurato nella cartella radice degli aggiornamenti rapidi, configurare l'elemento seguente nel file XML per definire un modello di installazione e delle condizioni di uscita per gli aggiornamenti in quella cartella:<FolderRules> <Folder name="FolderRule1"> <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow --> ... </Folder> ... </FolderRules>
Nelle tabelle seguenti sono descritti gli attributi <Template> e i possibili sottoelementi <ExitConditions> .
Attributo <Template> |
Descrizione |
|---|---|
path |
Percorso completo del programma di installazione per il tipo di file definito nell'attributo <Extension name> .Per specificare il percorso a un file di aggiornamento nella struttura della cartella radice degli aggiornamenti rapidi, usare |
parameters |
Stringa di parametri obbligatori o facoltativi per il programma specificato in path.Per specificare un parametro corrispondente al percorso a un file di aggiornamento nella struttura della cartella radice degli aggiornamenti rapidi, usare |
Sottoelemento <ExitConditions> |
Descrizione |
|---|---|
<Success> |
Definisce uno o più codici di uscita che indicano che l'aggiornamento specificato è riuscito. Si tratta di un sottoelemento obbligatorio. |
<Success_RebootRequired> |
Definisce facoltativamente uno o più codici di uscita che indicano che l'aggiornamento specificato è riuscito e che il nodo deve essere riavviato. Nota: facoltativamente, l'elemento <Folder> può contenere l'attributo alwaysReboot . Se l'attributo è impostato, indica che se un aggiornamento rapido installato restituisce uno dei codici di uscita definiti in <Success>, ciò verrà interpretato come condizione di uscita <Success_RebootRequired> . |
<Fail_RebootRequired> |
Definisce facoltativamente uno o più codici di uscita che indicano che l'aggiornamento specificato non è riuscito e che il nodo deve essere riavviato. |
<AlreadyInstalled> |
Definisce facoltativamente uno o più codici di uscita che indicano che l'aggiornamento specificato non è stato applicato perché già installato. |
<NotApplicable> |
Definisce facoltativamente uno o più codici di uscita che indicano che l'aggiornamento specificato non è stato applicato perché non applicabile al nodo del cluster. |
Importante
Qualsiasi codice di uscita non esplicitamente definito in <ExitConditions> viene interpretato come aggiornamento non riuscito e il nodo non viene riavviato.
Limitare l'accesso alla cartella radice degli aggiornamenti rapidi
Per configurare il file server e la condivisione file SMB per garantire accesso alla cartella radice e al file di configurazione degli aggiornamenti rapidi esclusivamente nel contesto di Microsoft.HotfixPlugin, è necessario eseguire diversi passaggi. Tali passaggi consentono di abilitare varie funzionalità che aiutano a prevenire possibili manomissioni dei file di aggiornamento rapido che potrebbero compromettere il cluster di failover.
In generale, i passaggi sono i seguenti:
Identificare l'account utente usato per le operazioni di aggiornamento tramite il plug-in
Configurare l'account utente individuato nei gruppi necessari in un file server SMB
Configurare le autorizzazioni per accedere alla cartella radice degli aggiornamenti rapidi
Configurare le impostazioni per l'integrità dei dati SMB
Abilitare una regola di Windows Firewall nel server SMB
Passaggio 1: Identificare l'account utente usato per le operazioni di aggiornamento mediante plug-in per gli aggiornamenti rapidi
L'account usato in Aggiornamento compatibile con cluster per la verifica delle impostazioni di sicurezza durante l'esecuzione di un'operazione di aggiornamento con Microsoft.HotfixPlugin dipende dalla modalità di utilizzo di Aggiornamento compatibile con cluster: aggiornamento remoto o aggiornamento automatico, come illustrato di seguito:
Modalità di aggiornamento remoto L'account con privilegi amministrativi nel cluster su cui eseguire un'anteprima degli aggiornamenti e quindi applicarli.
Modalità di aggiornamento automatico Il nome dell'oggetto computer virtuale configurato in Active Directory per il ruolo del cluster di Aggiornamento compatibile con cluster. Si tratta del nome di un oggetto computer virtuale preinstallato in Active Directory per il ruolo del cluster di Aggiornamento compatibile con cluster o del nome generato da quest'ultimo per il ruolo del cluster. Per ottenere il nome se generato da Aggiornamento compatibile con cluster, eseguire il cmdlet CAU di PowerShell Get-CauClusterRole. Nell'output ResourceGroupName è il nome dell'account dell'oggetto computer virtuale generato.
Passaggio 2: Configurare l'account utente individuato nei gruppi necessari in un file server SMB
Importante
È necessario aggiungere l'account usato per le operazioni di aggiornamento come account Administrator locale nel server SMB. Se ciò non viene consentito a causa dei criteri di sicurezza dell'organizzazione, configurare questo account con le autorizzazioni necessarie sul server SMB usando la procedura riportata di seguito.
Per configurare un account utente sul server SMB
Aggiungere l'account usato per le operazioni di aggiornamento al gruppo Distributed COM Users e a uno dei gruppi seguenti: Power User, Server Operation o Print Operator.
Per abilitare le autorizzazioni WMI necessarie per l'account, avviare la console di gestione WMI nel server SMB. Aprire Azure PowerShell e digitare il seguente comando:
wmimgmt.mscNell'albero della console fare clic con il pulsante destro del mouse su Controllo WMI (computer locale), quindi scegliere Proprietà.
Fare clic su Sicurezza, quindi espandere Radice.
Fare clic su CIMV2, quindi su Sicurezza.
Aggiungere l'account usato per le operazioni di aggiornamento all'elenco Utenti e gruppi .
Concedere le autorizzazioni Esegui metodi e Abilita remoto all'account usato per le operazioni di aggiornamento.
Passaggio 3: Configurare le autorizzazioni per accedere alla cartella radice degli aggiornamenti rapidi
Per impostazione predefinita, quando si tenta di applicare degli aggiornamenti, il plug-in per gli aggiornamenti rapidi verifica la configurazione delle autorizzazioni nel file system NTFS per l'accesso alla cartella radice degli aggiornamenti rapidi. Se le autorizzazioni per l'accesso alla cartella non sono configurate correttamente, un'operazione di aggiornamento usando il plug-in per gli aggiornamenti rapidi potrebbe non riuscire.
Se si usa la configurazione predefinita del plug-in per gli aggiornamenti rapidi, assicurarsi che le autorizzazioni di accesso alla cartella soddisfino i requisiti seguenti.
Il gruppo Users deve disporre delle autorizzazioni di lettura.
Se il plug-in applicherà gli aggiornamenti con estensione .exe, il gruppo Users deve disporre delle autorizzazioni di esecuzione.
Le autorizzazioni di scrittura e di modifica sono permesse (ma non necessarie) solo per determinate entità di sicurezza. Le entità di sicurezza ammesse sono il gruppo Administrators locale, SYSTEM, CREATOR OWNER e TrustedInstaller. Nessun altro account o gruppo può disporre di autorizzazioni di scrittura o modifica per la cartella radice degli aggiornamenti rapidi.
È facoltativamente possibile disabilitare i controlli preventivi eseguiti dal plug-in per impostazione predefinita. È possibile effettuare questa operazione in uno dei due modi seguenti:
Se si usano i cmdlet di PowerShell di Aggiornamento compatibile con cluster, configurare l'argomento DisableAclChecks='True' nel parametro CauPluginArguments per il plug-in hotfix.
Se si sta usando l'interfaccia utente di Aggiornamento compatibile con cluster, selezionare l'opzione Disabilita controllo accesso amministratore alla cartella radice degli aggiornamenti rapidi e al file di configurazione nella pagina Opzioni di aggiornamento aggiuntive della procedura guidata per la configurazione delle opzioni relative alle operazioni di aggiornamento.
Come procedura consigliata per molti ambienti si raccomanda tuttavia l'impiego della configurazione predefinita che prevede l'imposizione di tali controlli.
Passaggio 4: Configurare le impostazioni per l'integrità dei dati SMB
Per controllare l'integrità dei dati nelle connessioni tra i nodi del cluster e la condivisione file SMB, il plug-in per gli aggiornamenti rapidi richiede l'abilitazione delle impostazioni nella condivisione file SMB per la firma o la crittografia SMB. La crittografia SMB, che fornisce sicurezza avanzata e prestazioni migliorate in molti ambienti, è supportata a partire da Windows Server 2012. È possibile abilitare una di queste impostazioni, o entrambe, come indicato di seguito:
Per abilitare la firma SMB, vedere la procedura nell' articolo 887429 della Microsoft Knowledge Base.
Per abilitare la crittografia SMB per la cartella SMB condivisa, eseguire il seguente cmdlet di PowerShell nel server SMB:
Set-SmbShare <ShareName> -EncryptData $trueDove <ShareName> è il nome della cartella SMB condivisa.
Facoltativamente, per imporre l'uso della crittografia SMB nelle connessioni al server SMB, selezionare l'opzione Richiedi crittografia SMB per l'accesso alla cartella radice degli aggiornamenti rapidi nell'interfaccia utente CAU oppure configurare l'argomento plug-in RequireSMBEncryption='True' usando i cmdlet CAU di PowerShell.
Importante
Se si seleziona l'opzione per imporre l'uso della crittografia SMB e la cartella radice degli aggiornamenti rapidi non è configurata per connessioni che usano la crittografia SMB, l'operazione di aggiornamento non riuscirà.
Passaggio 5: Abilitare una regola di Windows Firewall nel server SMB
È necessario abilitare la regola Gestione remota file server (SMB-In) in Windows Firewall nel file server SMB. Questa opzione è abilitata per impostazione predefinita in Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012.